Privacy: Autorizzare o non Autorizzare?

I dati personali e la privacy costituiscono un  bene prezioso, in quanto legato alla sfera delle informazioni protette dalla riservatezza. Nell’era dei Big Data, della vendita di liste di numeri telefonici ed email, è utile sapere quali sono i diritti delle persone che hanno autorizzato il trattamento della Privacy.

Cos'è l’Autorizzazione al trattamento della Privacy

L’autorizzazione al trattamento dei dati personali, o della Privacy, è di fatto una forma di consenso che consiste nell’accettazione da parte del cittadino del fatto che i suoi dati personali siano trattati, dunque gestiti e archiviati. L’autorizzazione riguarda anche i minori, ma in questo caso si deve acquisire il consenso dei genitori o di colui che esercita la patria potestà.

Le caratteristiche dell’Autorizzazione al trattamento dei dati personali

L’autorizzazione al trattamento della Privacy ha le caratteristiche fissate dalle norme, secondo le quali il  consenso deve essere inequivocabile, libero, specifico, informato, verificabile e revocabile. 

Il consenso inequivocabile richiede quindi una sua evidente espressione. Dunque non deve sussistere alcun dubbio sul fatto che sia stato espresso. Il consenso deve essere obbligatoriamente esplicito in particolari situazioni, come per il trattamento di dati sensibili. Sono considerati dati sensibili quelli che riguardano in particolare “l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale,lo stato di salute e la vita sessuale”.

L’autorizzazione esplicita al trattamento della Privacy è richiesta anche per l'inserimento in banche dati che prevedano la profilazione degli utenti secondo età, interessi ecc.

Il consenso può ritenersi libero quando è assunto in piena autonomia e libertà. Dunque, ad esempio, l'autorizzazione non deve essere rilasciata come condizione essenziale per la stipula di un contratto. In questi casi il consenso deve essere espresso con apposito modulo, separatamente dall’accettazione di una proposta commerciale.

Sono ancora molti i casi in cui l’autorizzazione al trattamento dei dati personali è condizione essenziale di una prestazione, soprattutto sui moduli presenti sul web.

L’autorizzazione al trattamento della Privacy deve essere di tipo specifico, ovvero legato a una specifica finalità. Ecco perchè molti moduli prevedono di confermare con un flag o una crocetta  il trattamento per la propria banca dati, per quella di terzi ai quali i dati vengano ceduti ecc. 

Per ottenere un consenso informato chi lo richiede deve mettere l'utente nelle condizioni di aver potuto apprendere  tutte le informazioni necessarie sulla gestione dei dati.

Il consenso è invece verificabile quando l’azienda che lo ha ottenuto è in grado di dimostrare che l’interessato lo ha formalizzato, anche oralmente.

La verifica deve poter essere effettuata riguardo alla specifica informativa approvata dal cittadino.

L’autorizzazione al trattamento della Privacy  deve infine essere revocabile. Ciò significa che in qualsiasi momento l’utente può comunicare la revoca. Non è necessario motivare la revoca, la quale non ha effetto retroattivo.

Autorizzazione all’esercizio della Privacy e presupposti giuridici

Due le norme europee che riguardano l'autorizzazione al trattamento dei dati personali: la Direttiva 95/46 che nel 1995 ha introdotto la regolamentazione del trattamento dei dati personali, sostituita nel 2016 dal Regolamento generale per la protezione dei dati personali n. 2016/679, comunemente definito con General Data Protection Regulation o l’acronimo GDPR.

 Il nuovo regolamento è più stringente della Direttiva del 1995, la quale prevedeva il recepimento con legge dei singoli Stati. Il Regolamento invece non ha bisogno di essere recepito ed è cogente per tutti gli Stati membri.

 Il Regolamento sulla Privacy presenta un approccio orientato alla protezione dei dati, e non direttamente alla tutela del cittadino, e responsabilizza il titolare del trattamento dei dati e il suo responsabile.

Le nuove norme dispongono che sia possibile:

• l’accesso dei cittadini alle informazioni relative ai dati personali e le modalità di conservazione e trattamento;
• la portabilità dei dati, che consente di  trasferire i dati personali tra diversi servizi;
• l'istituzionalizzazione del diritto alla cancellazione, o all’oblio, che consentirà  di ottenere la eliminazione dei dati quando viene meno l'interesse pubblico alla pubblicazione degli stessi;
• una sorta di “sportello unico”, ovvero la competenza di una sola autorità di vigilanza nello stato dove le aziende hanno sede; 
• multe fino al 4% del fatturato globale per la violazione delle norme relative al trattamento dei dati personali da parte delle aziende.

Un caso specifico, l’autorizzazione al trattamento della Privacy nel CV

A volte chi cerca opportunità di lavoro e invia il proprio curriculum vitae dimentica di fornire l’autorizzazione al trattamento dei dati personali.

Si tratta di un errore grave, perché i selezionatori delle Risorse Umane non saranno nelle condizioni di contattare il candidato che ha inviato il CV.

I dati relativi ai recapiti postali, telefonici e all’indirizzo email sono infatti soggetti alla Privacy e possono essere utilizzati e trattati solo previo consenso.

Non esiste in questo caso un modulo per l’autorizzazione al trattamento dei dati personali, così come ad esempio nel settore delle assicurazioni online. 

E’ sufficiente concludere il curriculum vitae con la frase ““Autorizzo il trattamento dei miei dati personali ai sensi del Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali”, almeno fino a che nel maggio 2018 non entrerà in vigore il Regolamento europeo.